1

两高一弱检查工具

1. 提供≥6个千兆电口，可用存储量:≥1T，提供至少3年的升级服务。支持系统扫描，最大可扫描IP或域名数无限制，扫描任务并发≥20，扫描IP并发≥300； 支持Web扫描，最大可扫描网站数无限制； 支持弱口令检测；配置功能模块至少包含但不仅限于系统扫描、web扫描、弱口令扫描、数据库扫描。
2.支持对主流操作系统、WEB站点/应用、数据库、网络设备、各种常见应用等的深入扫描，帮助医院在安全事件发生之前发现潜在风险，以及在安全事件后定位脆弱点从而进行整改。
3. 能够提供针对web服务扫描，检查web服务程序的安全问题，包括：服务程序旗标和版本号；服务程序本身的脆弱性（含：对输入缺乏合法性检查、不能正确处理异常情况）；服务器上运行的脚本及 CGI程序的脆弱性；服务器的危险或错误配置。
4.应能提供5大独立扫描模块，包含系统扫描、Web扫描、数据库扫描、弱口令扫描、基线配置核查的全面扫描能力，每个模块具备各自的配置项，可灵活修改每个模块的配置参数以满足不同场景下的扫描需求；
5.采用B/S设计架构，SSL加密方式通信，无须安装客户端，用户可通过浏览器远程管理系统；
6.支持部署在IPV4、IPV6环境下，且系统扫描、Web扫描、数据库扫描、弱口令扫描、基线配置核查等各类型任务均支持添加IPv6扫描目标；
7.支持针对指定IP段，同时一键下发系统扫描、Web扫描、弱口令扫描任务，其中Web扫描能够自动发现该网段内的在线网站并开展扫描；弱口令扫描能自动发现该网段IP开放服务并自动开展弱口令扫描；
8.能够支持检查与浏览器安全相关的信息和配置，发现危险或不合理的配置，并提出相应的安全性建议。
9.支持通过SSH、SMB、TELNET、RDP、POP、POP3、IMAP、FTP、WMI、RSH、REXEC、WINRM、SNMP等协议对目标主机进行深度登录扫描；
10.支持自动探测指定IP段的已知、未知Web站点，并可一键转为Web资产或一键下发Web扫描任务；
11.系统应支持自定义任务执行方式，支持立即扫描、定时扫描、周期性扫描等多种扫描方式，周期扫描时间可精确到每天、每周或每月的某天、某时、某分；
12.支持Web应用系统登录验证功能，验证Web登录认证信息的正确性，以确保登录扫描正常执行；
13.支持Web登录认证扫描，支持基于Cookie认证、Form认证、Basic认证、NTLM认证、Session认证、Digest认证、自定义header的Web应用系统扫描；
14.系统应支持网站暗链检测，发现网站中存在的隐藏链接；
15.支持中间件弱口令检测，包含但不限于：Tomcat、WebLogic、JBoss、WebSphere、GlassFish；
16.支持实时显示扫描进度及结果，能够在扫描过程中实时查看主机信息及漏洞信息；
17.系统应支持数据库弱口令检测，包含Oracle、REDIS、MySQL、Postgres、MsSQL、DB2、MongoDB、Sybase、Informix；
18.支持四五级漏洞配置，可以根据cvss2和cvss3两种标准对漏洞进行风险评级；
19.支持扫描物联网设备，如主流厂商海康威视、宇视、华为、大华、Brickcom、索尼、TP-LINK、AXIS、佳能等的摄像头，三星、惠普、爱普生、佳能等厂商的打印机；
20.具备基于网络质量自动感知提高网络漏洞检测率的方法。

21.具备对通过自动化方式，能够快速的探测网络拓扑结构的能力;

22.漏洞扫描系统的漏洞数不少于57万，覆盖CVE、CVSS、CNVD、CNNVD、CNCVE、Bugtraq多种漏洞标准。

2

日志收集管理器（综合日志审计与管理系统）

1.性能指标：≥6个千兆电口，≥2个扩展槽，≥16G内存 可用存储量：≥2TB，冗余电源，平均每秒处理日志数（eps）最大性能：≥20000EPS；提供至少3年的升级服务。支持市面上主流安全设备、网络设备、服务器、操作系统、应用系统、虚拟化、云计算、数据库、中间件、管理平台等对象的日志采集。
2.能够稳定运行，系统应用程序能够提供持续稳定的服务；
3.系统支持自定义资产展示列表项，包括：资产名称、资产类型、资产型号、隶属区域、网段、制造商、操作系统、资产IP、内存容量、负责人、联系电话、邮件地址、厂商电话、资产编号、备注信息、安全组件类型等列表项；
4.资产自定义属性应具备灵活定义特征，支持以控件可视化配置方式定义资产属性。资产属性控件可选范围应包括但不限于文本控件、文本域控件、下拉控件、时间控件、单选控件、多选控件；同时，支持可视化配置资产自定义属性控件选项内容的数据字典；
5.采集协议至少包含：Syslog、 SNMP Trap、 JDBC、SSH、SFTP/FTP、WMI、Netflow、Kafka；
6.为便于维护记录不同资产类型的个性化资产属性，系统应支持自定义资产属性能力，包括对自定义资产属性的添加、编辑、删除操作；
7.系统应支持对原始日志的聚合分析能力，经过分析聚合生成安全事件；
8.支持syslog协议收集操作系统（windows、Linux）日志的功能，通过浏览器登录控制界面，支持日志赛选和日志查询，在相关页面进行策略配置相关操作。
9.为保障系统输入数据的安全性，系统应支持可视化配置自定义资产属性控件的输入校验条件；
10.系统应支持对日志归并聚合规则的定义，根据配置策略聚合相应的原始日志生产安全事件；
11.系统支持对主流网络设备、安全设备、服务器、终端设备等的日志信息解析；
12.支持根据运维审计侧重点自定义配置安全事件列表所展示的事件属性列表项，自定义安全事件展示列表项应包括：事件类型、事件类别、事件名称、事件级别、发生源IP、发生源设备、协议、聚合开始时间、聚合结束时间、源IP、目的IP、源端口、目的端口，点击详情查看事件详情和原始日志；
13.系统支持安全事件关键字查询和精确查询两种查询模式；
14.关联事件内容至少包括：事件类型、事件名称、事件级别、策略名称、次数、产生时间、更新时间，点击详情查看事件详情和原始日志；
15.为了挖掘不同类型、来源于不同设备或系统的日志或安全事件之间可能存在的关联关系，提供GUI方式的关联规则设置功能，关联的类型包括基于规则和基于统计；
16.系统支持关键字查询和精准查询两种查询模式，支持对日志精准查询条件保存，以供后续审计所用；
17.支持对转发日志内容的标准化自定义配置，支持通过可视化方式自定义配置日志内容，日志内容定义可支持所有日志属性任意组合方式的配置；
18.审计事件内容包括：审计事件名称、事件级别、审计类型、审计策略、产生时间、更新时间、事件总数，点击详情查看事件详情和事件溯源信息；
19.系统应具备告警事件转发能力。审计告警转发方式至少支持邮件、snmptrap和syslog；系统告警转发方式至少支持邮件、snmptrap及声光电告警提示；
20.系统内置审计类型，同时支持配合不同的审计策略自定义审计类型；

3

数据库操作审计系统

1.≥16G内存，≥2TB硬盘，≥SSD 256G，≥6个千兆电口，≥2个扩展槽，峰值事件处理≥120000条/秒，无限制授权，冗余电源，至少3年的升级服务。
2.支持主流数据库包括SQL-SERVER、MYSQL、Oracle、DB2等数据库的审计，支持多路部署，支持通过分布式集群来实现无缝扩容，提高存储上限。支持审计记录的完整语句详情信息，支持同时叠加包括业务系统、操作内容、源IP、目标IP、源端口、目标端口、数据库名、数据库用户名、操作方式、操作对象等在内的超过20种查询条件。
3.基于应用访问的特征匹配，匹配项包括请求方法、URI、COOKIE、客户端工具、域名、请求体、响应体、状态码、跳转、客户端地址、服务端地址等关键信息。
4.支持多路部署，业务数据库环境数量较多，数据量不大，且分布在不同的交换机上，可通过审计设备的多个采集口，对不同的交换机实现监听镜像流量；
5.支持通过分布式集群来实现无缝扩容，进一步提高存储上限，满足合规要求，为用户提供充足的存储；
6.支持对外通过API方式提供数据支撑服务，为外部设备或平台提供分析数据支持敏感数据发现，针对不同类型进行针对性的敏感数据掩码处理；
7.支持ORACLE、MYSQL、SQLserver、MariaDB、PostgreSQL、GaussDB A(FusionInsight LibrA)、GaussDB(DWS)、Greenplum 、DB2、MongoDB、达梦、Sybase、Redis、Teradata、Alisql、PolarDB for mysql、PolarDB for postgresql、PolarDB-X、OceanBase、TDSQL MySQL版、TDSQL PostgreSQL版、TDSQL-C MySQL版、TDSQL-C  PostgreSQL版等多种数据库类型，支持基于Thrift协议的包括大数据在内的数据库访问；
8.支持审计记录完整的语句详情信息，包括：SQL语句操作内容、SQL会话起始时间、SQL会话结束时间、SQL执行时间、SQL模板、所属业务系统、源IP、源端口、目标IP、目标端口、协议类型、数据库名、数据库用户名、数据库实例名、计算机名、应用程序名、操作方式、操作对象、执行时长、执行结果、错误代码、语句大小、影响行数、绑定变量等至少24个项；
9.支持同时叠加包括业务系统、操作内容、源IP、目标IP、源端口、目标端口、数据库名、数据库用户名、SQL模板编号、操作方式、操作对象、最大单条耗时、数据库实例名、计算机名、应用程序名、规则名、事件ID、数据来源、时间范围、查询方式、排序方式在内超过20种查询条件，除最大单条耗时外的审计内容条件均支持OR、AND、NOT三种匹配方式；
10.支持不同业务系统之间、不同数据库之间、不同访问源IP之间在指定时间范围内的对比分析，或同一业务系统、同一数据库、同一访问源IP在不同时间范围内的对比分析，支持对比结果以图表和趋势的方式进行展示，包括源IP、账号数、客户端工具数、客户端主机数、表对象数、操作类型数、明细语句数、会话数、告警数、SQL模板数等信息的对比；
11.支持业务系统应用审计，审计内容包括URL、请求方法、应答状态码、客户端工具、源IP、目标IP、源端口、目标端口、业务系统名、源MAC、目标MAC、请求参数、协议类型、应答参数、域名、跳转地址、请求数据类型、应答数据类型、应答数据长度、请求数据长度、代理IP、重定向地址等应用关键信息，支持与数据库语句的三层关联；
12.监控和分析来自镜像流量和流量探针两种途径的实时网络流量，利用聚合状态可视化展示设备实时性能，梳理流量中的所有访问请求并快速添加为审计监控对象，并支持包括源IP、目标IP、目标端口、时间、流量状态等在内的流量信息展示；
13.支持SQL模板发现和审计，自动识别并抽取数据库句式语意相同但参数不同的语句，记录该模板的明细、状态、发现时间等，支持模板的别名设置，支持指定模板不触发规则或丢弃指定模板的语句，可将大量、常见的语句设置为安全规则或过滤规则，规则准确度，优化系统识别规则库，形成安全语句和敏感语句管理；
14.支持旁路部署、多路部署、流量探针部署，兼顾传统网络环境、虚拟网络环境和混合环境下的数据采集。流量探针不依赖传统交换机流量镜像，适应大多数基于windows和linux操作系统的目标服务器的安装，实现虚拟化环境内部流量无法镜像、无主机确切位置、存在灾备漂移等场景下对数据库的全面审计；
15.支持数据库规则或应用规则的多条规则合并成组合规则，利用组合规则更好地识别数据库访问行为链和应用访问行为链，发现潜在的数据库和应用中可能存在的深层风险；
16.支持对外提供基于API接口的数据支撑服务，为外部设备或平台提供分析数据，分析数据包括数据资产包、事件数据包、历史明细包、终端资产包、sql模板包等；
17.支持对用户业务系统的工号识别，可基于SQL模板或语句特征、数据库账号类型进行工号提取，自定义添加一个或者多个由SQL模板或语句、数据库类型、操作方式、操作对象、字段名、绑定变量组成的配置明细，便于安全事件的清晰定责；
18.支持展示监听服务、消息队列、分析引擎、SNMP服务、数据库服务等核心服务的使用状态，支持基于传输层、网络层、数据链路层中的IPV4、IPV6、TCP、UDP、SCTP、ICMPV4、ICMPV6、GRE、ETHERNET、PPP、PPPOE、RAW、SLL、VLAN、QINQ、MPLS、ERSPAN、VXLAN、GENEVE、IPIP等多种协议的解析，并支持对监听的VXLAN端口、SQL语句长度、流超时间进行配置；
19.支持纯IPV4环境、纯IPV6环境及IPV4与IPV6混杂环境下部署，支持纯IPV4环境、纯IPV6环境及IPV4与IPV6混杂环境下的数据库访问行为审计；

4

设备质保服务

提供三年质保及升级服务。